Django google picker API ключ

Я устанавливаю API google picker в приложении Django и пытаюсь понять, как правильно обрабатывать ключ API и другие настройки. Мне интересно, не является ли способ, которым я это делаю, угрозой безопасности. Я задаю значения с помощью переменных окружения следующим образом:

# views.py

@staff_member_required
def upload(request):
    context = {
        'GOOGLE_DEVELOPER_KEY': os.environ.get('GOOGLE_DEVELOPER_KEY'),
        'GOOGLE_CLIENT_ID': os.environ.get('GOOGLE_CLIENT_ID'),
        'GOOGLE_APP_ID': os.environ.get('GOOGLE_APP_ID')
    }
    return render(request, 'upload.html', context)

# upload.html
<script type="text/javascript">
var developerKey = "{{ GOOGLE_DEVELOPER_KEY }}";
var clientId = "{{ GOOGLE_CLIENT_ID }}"
var appId = "{{ GOOGLE_APP_ID }}";

function createPicker() {
  if (pickerApiLoaded && oauthToken) {
    var view = new google.picker.View(google.picker.ViewId.DOCS);
    //view.setMimeTypes("image/png,image/jpeg,image/jpg");
    var picker = new google.picker.PickerBuilder()
        .enableFeature(google.picker.Feature.NAV_HIDDEN)
        .enableFeature(google.picker.Feature.MULTISELECT_ENABLED)
        .setAppId(appId)
        .setOAuthToken(oauthToken)
        .addView(view)
        .addView(new google.picker.DocsUploadView())
        .setDeveloperKey(developerKey)
        .setCallback(pickerCallback)
        .build();
     picker.setVisible(true);
  }
}
</script>

Чтобы увидеть страницу, необходимо войти в систему. Но так, как я устанавливаю значения, как только вы вошли в систему, вы можете просто просмотреть HTML и увидеть ключ разработчика, идентификатор клиента и т.д. Является ли это проблемой? Должен ли я делать это по-другому?

Вернуться на верх